2017年11月15日,GFIC-2017亚太CDN年会在上海隆重召开,大会聚焦“高清云、高防云、视频云”。会议进入第二天,北京椒图科技副总裁李栋先生发表了题为《基于web服务器自适应插件的cc防御技术》的演讲,现场分享了椒图科技应对CC攻击如何防御,进而保证应用的高可用性与可靠性。
四种方式 应对cc攻击
在演讲中,李栋指出,与DDoS攻击不同,CC攻击主要是对服务器的内存等占用,CC攻击的攻击原理比较简单,通过用一个IP向服务器发起数据库请求,在短时间内占用大量的CPU包括内存的资源。常规的防CC攻击有四种,一个是硬件WAF,它现在是大企业的标配,优点是部署非常方便,本身是用硬件方式交付,吞吐量比较高,但缺点是价格昂贵,对于中小企业来说应该是难以负担的。另外,硬件WAF需要明确的网络边界,不适合云环境。椒图之前遇到一个用户购买大量的硬件,在把业务迁移到云上,又重新数据库,过滤之后再接到里面,这种做法效率比较低。
第二个是云WAF。云WAF的优点分发比较快,部署方便,只需要修改解析就可完成接入,也可以隐藏服务器的真实IP,降低被攻击的风险,在保护网站的同时,还可以充当CDN使用,加快网站访问速度。但缺点是容易被绕过,数据安全性能也不够高。
第三是手工cc加固。手工cc加固一方面从历史日志来区分攻击者与正常访客,由于CC攻击是抓取一个地址,因此可以从日志里面抓取一个看是CC访问还是正常访问,如果是CC访问就直接屏蔽。另一方面是网站内容静态化, 把能做成静态页面的尽量不要动态化。目前网易、新浪、搜狐等门户网站已完成大部分页面的静态化。一个静态页面不需要服务器多少资源,甚至可以直接从内存中读出来发给用户。李栋表示,到目前为止,HTML未出现过溢出漏洞。然而手工加固缺点非常明显,需要耗费大量的人工,不停去做静态化。
李栋表示,以上几种方式都需要硬件、软件还有人工,第四种方式是在web中间件自适应过滤插件。采用云锁在WEB中间件中插入过滤插件(WAF探针)的方式,通过多维度防护规则有效防御已知安全漏洞攻击。这样的好处是因为WEB是可以适应云、物理,混合等复杂环境,也可以自适应调整业务吞吐量,所有数据信息保存在本地。缺点是需要在每个操作系统上单独部署,需要调试与操作系统、其他应用的兼容性,保证高可用性与高可靠性。
虚拟化架构 保证高可用性
在如何保证高可用性上,李栋指出,椒图科技目前实现了对一些虚拟化架构有比较好的支持,全面支持共有云及私有云,混合云,跨系统版本、物理架构管理减少资源占用,内存占用25到50M之间,也采取业务有限原则,不依赖系统。在操作系统兼容性上,椒图现在实现了2003版本以上的支持。运维软件上,椒图既有一些大版本的支持,也有小版本的支持。
椒图抗CC攻击产品有三重模式,第一种模式是计数,通过看请求次数,用户可以根据业务的实际情况进行一个调整,然后中间是一个反向验证,这个是高低模式,比较常用的模式。当CC攻击发生之后,会有一个攻击溯源,即攻击发起包括攻击的页面,给使用者一个修复漏洞一个依据。
然而以上这些方式只能防御一些已知的攻击,黑客也在不断的进步,仅就它的一段代码从特征上很难判断。对于穿过WAF探针的流量,RASP探针会进行第三次检测,对应用系统的流量,进行持续监控,如果检测到了,就会进行拦截。同时在这个虚拟安全域椒图还加了一个WAF探针,思路就是在内部侧面把外部中间件因为替换。在云端还有虚拟化的沙盒,可以通过检测加密过这变形甚至未活动的,一旦在沙盒检测到了,会返回到本地然后进行拦截,变成自适应的环境体系,整个过程不需要任何的人工干预。
责任编辑:王刚
